Come rilevare chi ha eliminato un Oggetto Criterio di Gruppo

Gli oggetti Criteri di gruppo (GPO) possono fornire configurazioni per l'accesso a risorse e dispositivi condivisi, abilitare funzionalità critiche o stabilire ambienti sicuri. Se alcuni dei GPO vengono eliminati, gli utenti potrebbero non essere in grado di accedere a Internet, modificare i propri dati, utilizzare periferiche o persino accedere ai loro sistemi. L'eliminazione di GPO che si occupano di controllo degli accessi, autenticazione e altre politiche di sicurezza può aumentare la vulnerabilità dei sistemi e consentire accessi non autorizzati.

Come rilevare chi ha eliminato un GPO utilizzando strumenti di auditing nativi?

1. Eseguire GPMC.msc > aprire “Criteri di Dominio Predefiniti” > Configurazione Computer > Criteri > Impostazioni Windows > Impostazioni di Sicurezza:

• Configurazione avanzata della Audit Policy > Politiche di controllo > Accesso agli oggetti > Controllo del file system > Definisci > Successi e fallimenti
• Configurazione avanzata delle policy di audit > Policy di audit > Accesso agli oggetti > Audit della manipolazione degli handle > Definisci > Successi e fallimenti
• Criteri locali > Criteri di controllo > Controllo accesso ai servizi di directory > Definisci > Successi e fallimenti
• Registro eventi > Definire > Dimensione massima del registro di sicurezza a 1gb e Metodo di conservazione del registro di sicurezza su Sovrascrivi eventi secondo necessità.

2. Apri ADSI Edit > Connetti a contesto di denominazione predefinito > DC=nome dominio > CN=System > clicca con il tasto destro su “CN=Policies” > Proprietà > Sicurezza (Tab) > Avanzate > Controllo (Tab) > Clicca “Aggiungi” > Scegli le seguenti impostazioni:

• Principale: Tutti; Tipo: Successo; Si applica a: Questo oggetto e tutti gli oggetti discendenti; Permessi: Elimina oggetti contenitore di Criteri di gruppo > Clicca “OK”.

3. Naviga fino a \domainnamesysvoldomainfqdn > clicca con il tasto destro sulla cartella “Policies” e seleziona “Proprietà”.

4. Seleziona la scheda “Sicurezza” > pulsante “Avanzate” > scheda “Controllo” > Clicca su “Aggiungi”.

5. Seleziona Principale: “Tutti”; Seleziona “Tipo: Tutti”; Seleziona “Si applica a: Questa cartella, sottocartelle e file”; Seleziona i seguenti “Permessi Avanzati”: Scrivi attributi; Scrivi attributi estesi; Elimina; Elimina sottocartelle e file; Clicca “OK” tre volte.

6. Per definire quale criterio di gruppo è stato eliminato, filtra il Registro eventi di sicurezza per Event ID 4663 (Categoria di attività – “File System” o “Supporto rimovibile”) e cerca la stringa “Nome oggetto:”, dove puoi trovare il percorso e il GUID del criterio eliminato e il campo “nome account” contiene informazioni su chi lo ha eliminato.

Ora impara come scoprire chi ha eliminato un oggetto Group Policy in 2 passaggi >>